開発者向けツールへの単一の攻撃は、わずか24時間のうちに大惨事的な連鎖反応へとエスカレートし、数十のプロジェクトを巻き込みました。最初に、悪意ある者たちは普遍的なTrivy脆弱性スキャナーに侵入し、その構造に認証情報窃取コードをシームレスに組み込みました。その後、これらの盗まれたアクセス権を武器化して、NPMエコシステム全体に有害なパッケージの蔓延を開始しました。
3月19日、TeamPCPというシンジケートはAqua Securityの主権的なインフラストラクチャを侵害し、Trivyの公式バージョンとその密接に関連したGitHub Actionsを悪意を持って置き換えました。利用者は通常性の幻想のもとでツールをインストールしましたが、トークン、暗号化キー、補助的なシークレットを貪欲に収集する有害なコンポーネントを無知のうちに招き入れてしまいました。翌朝までに、この略奪された情報は明らかに攻撃の次のフェーズに動員されました。NPMエコシステム内のパッケージの全面的な蔓延です。
この運動攻撃は深く複雑であることが判明しました。デジタルな略奪者たちはリポジトリ内で改変を偽造し、正当なプロジェクト貢献者になりすまして、感染したバージョンのTrivy 0.69.4をリリースしました。悪意あるアーキテクチャは公式のAqua Securityの聖地を精巧に模倣したドメインから呼び出され、その後GitHub、Docker Hub、および多くの補助プラットフォーム全体で発行されたビルドに浸透しました。
起動時、侵害されたTrivyは完全な正常性の外観で動作しながら、影でこっそりと機密テレメトリーを搾取していました。アーティファクトは環境変数、アクセスキー、クラウドサービス認証情報、Kubernetesトークンを流出させ、その後それらを暗号化してリモートコマンドサーバーに送信しました。主要なチャネルが失敗した場合、有害なコードは予備戦略に切り替わりました。被害者のアカウント内にtpcp-docsという名前のリポジトリを作成し、略奪された情報のアーカイブを無遠慮に預けました。
ビルドシステム用に特別な振る舞いが設計されました。侵害されたGitHub ActionsはRunner.Workerプロセスのメモリーを無慈悲にスキャンして、揮発性領域から直接シークレットを抽出し、同時にファイルシステムを検索してSSHキー、クラウド認証情報、さらには暗号資産ボールトの聖域を探していました。集約された情報は強力な暗号化アルゴリズムを使用して暗号化され、その後Cloudflareトンネルを通じて攻撃者のサーバーにルーティングされました。
悪意あるコードがGitHub Actionsの一時的な範囲内ではなく、開発者のローカルワークステーション上で動作していることを認識すれば、システム内での絶対的な定着を求めていました。これを遂行するために、sysmon.pyスクリプトとsystemdサービスを作成し、Internet Computer ネットワーク内のそれ自体のリモートノードに絶えず問い合わせを行い、追加の有害なペイロードをダウンロードしました。まさにこのメカニズムが、その後CanisterWormアーキテクチャの基礎となったのです。
この苦難は、悪意ある者たちが前回のインシデント後も違法なアクセスを保持し、彼らの包囲戦を絶え間なく進化させていたという現実によって、非常に悪化しました。早くも3月22日までに、彼らはDocker Hub上に新しく感染したTrivyイメージ(バージョン0.69.5および0.69.6)を発表し、同時にAqua Securityの内部リポジトリーを公開の深淵に投げ込みました。同時に、コマンドインフラストラクチャはkamikaze.shという名前の新しい悪意あるスクリプトの配布を開始しました。
まさにこれらの盗まれたトークンと認証情報が、次のフェーズの加速剤となりました。NPM内のパッケージの全面的な蔓延です。CanisterWormは定着とコマンドサーバーとの通信の同一の教義を活用していますが、自動化された転移性の蔓延の恐ろしい幻影をもたらします。現在、すべての支配下にあるマシーンはNPMトークンを絶えず発掘し、それらを武器化して、アクセス可能なパッケージ全体に悪意あるアップデートを放送しています。
本質的には、キルチェーンは次のように展開されます。まず、開発ツールの冒涜。次に、暗号シークレットの略奪。そして最終的に、依存関係エコシステム全体の壊滅的な蔓延です。このパラダイムが特に危険な理由は、その壊滅的な影響が単一の企業に限定されず、直接的な関係を持たない無数のプロジェクト全体に波及するからです。
フォレンシック分析の時代において、コマンドノードは散発的に無害なハイパーリンクを配布していました。しかし、その後、純粋で完全に発達した悪意あるペイロードの配布を開始しました。インフラストラクチャの一部は既に操作令に違反したために正当な制裁を受けていますが、爆撃は絶え間ない進化を続けており、デジタルな略奪者たちは彼らの戦術教義を変更する際に明らかに恐ろしい敏捷性を示しています。
